Comece agora  Fale com a equipe 

Medidas de segurança para empresas japonesas de e-commerce

Radar
Radar

Combata fraudes com a força da rede da Stripe.

Saiba mais 
  1. Introdução
  2. Por que as medidas de segurança são necessárias em lojas virtuais?
    1. Medidas para evitar danos causados por fraudes com cartões de crédito
    2. Proteção de dados pessoais dos clientes
    3. O risco contínuo de ataques cibernéticos
  3. Incidentes de segurança comuns que afetam as empresas de e-commerce
    1. Desligamentos do sistema
    2. Alteração do site
    3. Acesso não autorizado
    4. Ransomware
  4. Diretrizes de segurança para sites de e-commerce
  5. Medidas básicas de segurança para sites de e-commerce
    1. Integrar o Three-Domain Secure (3D Secure) 2.0 para verificação de identidade
    2. Conformidade com o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS)
    3. Implementar detecção de fraude de cartão de crédito
  6. Como responder a uma ameaça à segurança no e-commerce
    1. Infecção por vírus ou ransomware
    2. Vazamentos de dados
    3. Desligamento do sistema
  7. Como as empresas de e-commerce no Japão podem melhorar a segurança?
  8. Como o Stripe Radar pode ajudar
  9. Comece já com a Stripe 

Com a crescente popularidade das compras on-line e dos pagamentos digitais, os sites de e-commerce se tornaram uma parte indispensável da vida cotidiana no Japão. No entanto, os riscos de segurança - como fraude de cartão de crédito, vazamento de dados pessoais e ataques cibernéticos - aumentam a cada ano. Muitas empresas de e-commerce lutam para descobrir como lidar com esses problemas devido aos recursos limitados.

Neste artigo, explicamos as medidas básicas de segurança para empresas de e-commerce no Japão e alguns métodos para resposta a pagamento fraudulento e vazamento de informações.

O que há neste artigo?

  • Por que as medidas de segurança são necessárias no e-commerce?
  • Incidentes de segurança comuns que afetam as empresas de e-commerce
  • Diretrizes de segurança para sites de e-commerce
  • Medidas básicas de segurança para sites de e-commerce
  • Como responder a uma ameaça à segurança no e-commerce
  • Como as empresas de e-commerce no Japão podem melhorar a segurança?
  • Como o Stripe Radar pode ajudar

Por que as medidas de segurança são necessárias em lojas virtuais?

Conforme o mercado de e-commerce se expande, fraude e ataques cibernéticos se tornam mais sofisticados. Os danos causados por ataques a informações de cartões de crédito se tornam cada vez mais graves. Portanto, as medidas de segurança devem ser reforçadas.

Medidas para evitar danos causados por fraudes com cartões de crédito

De acordo com a Associação de Crédito dos Consumidores do Japão (JCA), as perdas por fraude com cartões de crédito em 2024 atingiram um recorde de ¥ 55,5 bilhões. Esse valor mais que dobrou em apenas cinco anos. Isso mostra que as fraudes estão aumentando proporcionalmente ao crescimento do mercado de e-commerce.

A maioria dessas perdas (ou seja, mais de 90%) foi causada pelo roubo de números de cartões de crédito em lojas virtuais. Esse roubo é realizado por meio de e-mails de phishing, sites de compras falsos e invasão de sistemas operacionais de lojas virtuais. Sem contramedidas básicas, é improvável que haja uma redução nessas perdas. As Diretrizes de Segurança de Cartões de Crédito também exigem que as empresas de e-commerce implementem medidas específicas.

Proteção de dados pessoais dos clientes

Os sites de e-commerce lidam com muitas informações dos cartões de crédito. Além disso, eles lidam com dados pessoais, como nomes, endereços, números de telefone e endereços de e-mail. Quando há um vazamento de dados pessoais, os danos não se limitam a uma única pessoa. Normalmente, quando uma grande quantidade de dados de clientes vaza, o resultado são grandes danos financeiros e perda da reputação da empresa.

Os titulares dos cartões que se tornam vítimas de fraudes devido ao roubo de números de cartão podem receber cobranças indesejadas e também podem ficar ansiosos e insatisfeitos com o vazamento das informações, o que pode fazer com que percam a confiança no site de e-commerce. Para restaurar a confiança, é necessário que a empresa dedique tempo e recursos em investigações e suporte ao cliente. Mesmo assim, os vazamentos de dados podem prejudicar a credibilidade e a lucratividade da empresa como um todo.

O risco contínuo de ataques cibernéticos

Os sites de e-commerce são alvos atraentes para ataques cibernéticos. Isso ocorre porque eles podem ser acessados a qualquer momento e incluem uma grande quantidade de dados de transações. Um relatório do Ministério de Economia, Comércio e Indústria (METI) do Japão destaca que o acesso não autorizado, phishing e as invasões a sistemas de pagamento estão aumentando. Nos últimos anos, os métodos de ataque se tornaram cada vez mais sofisticados, expandindo para incluir métodos automatizados de fraude conhecidos como "ataques do credit master" e golpes de phishing usando inteligência artificial (IA).

Incidentes de segurança comuns que afetam as empresas de e-commerce

Muitos tipos diferentes de incidentes de segurança podem ocorrer em sites de e-commerce. Veja a seguir alguns exemplos comuns e seus riscos:

Desligamentos do sistema

Isso acontece quando o site de e-commerce é fechado e fica indisponível devido a uma falha no servidor ou no sistema. Quando um site é desativado, ele pode perder vendas e a confiança dos clientes. Além disso, os esforços de recuperação podem gerar custos trabalhistas e financeiros.

A Information-technology Promotion Agency (IPA) fornece Diretrizes de segurança para criação e operação de sites de e-commerce que recomenda a preparação para essas situações por meio de backups regulares de dados, introdução de redundâncias, implementação de controle de acesso e utilização de logs.

De acordo com uma pesquisa realizada pela IPA e pela Comissão de Proteção de Dados Pessoais (PPC), a perda média de vendas devido ao fechamento de um site de e-commerce é estimada em ¥57 milhões. O custo médio de resposta a esse tipo de incidente é estimado em ¥240 milhões.

Alteração do site

Se vírus ou malware se infiltrarem nos terminais ou servidores do administrador, podem causar danos aos sistemas ou aos dados. Uma empresa de e-commerce deve instalar software antivírus, atualizar regularmente os sistemas operacionais e o software e estabelecer um sistema de detecção de hackers.

De acordo com a National Police Agency (NPA), houve vários relatos de um crime chamado "web skimming". Isso envolve a incorporação de programas ilegais em sites legítimos de e-commerce para adquirir informações de cartão dos clientes.

Acesso não autorizado

Isso ocorre quando um terceiro obtém acesso não autorizado a telas administrativas ou bancos de dados para visualizar, alterar ou excluir dados. As diretrizes de segurança mencionadas acima incluem as principais contramedidas, como autenticação multifatorial, avaliação de vulnerabilidades, controle de acesso e detecção de anomalias de login.

Os sites de e-commerce criados com software de processo aberto (OSS) podem estar particularmente em risco. De acordo com a IPA, 97% dos sites de e-commerce afetados foram criados internamente, sendo que muitos deles utilizam sistemas OSS. Embora os sistemas OSS sejam convenientes, suas vulnerabilidades também são mais fáceis de serem descobertas. Por exemplo, se as correções não forem aplicadas pronta ou corretamente, um sistema OSS pode facilmente se tornar um alvo para acesso não autorizado.

Ransomware

Esse ataque cibernético envolve agentes fraudulentos que criptografam sistemas ou dados e exigem dinheiro em troca de sua restauração. As empresas podem reduzir o risco desse ataque por meio de backups regulares, armazenamento separado, restrições de privilégios de administrador e treinamento de recuperação.

De acordo com um relatório da Japan Network Security Association (JNSA), os ataques de ransomware causaram perdas financeiras de ¥10 milhões a várias centenas de milhões. Isso inclui empresas de pequeno e médio porte, com alguns casos relatando perdas superiores a ¥100 milhões.

Diretrizes de segurança para sites de e-commerce

As Security Guidelines for Building and Operating Ecommerce Sites (Diretrizes de segurança para criação e operação de sites de e-commerce) publicadas pela IPA fornecem diretrizes de segurança específicas para a criação e operação seguras de sites de e-commerce. Elas são destinadas principalmente a pequenas e médias empresas e fornecedores independentes.

As principais diretrizes são:

  • Evitar incidentes de segurança.
  • Corrigir as vulnerabilidades de design e das operações.
  • Fornecer suporte à equipe não especializada.
  • Esclarecer as responsabilidades entre as partes relevantes para os sistemas internos e terceirizados.

As diretrizes de segurança são mais do que um manual técnico. Em vez disso, unem o trabalho prático à tomada de decisões, enfatizando a importância das medidas de segurança como decisões gerenciais. Além disso, as diretrizes fornecem exemplos de causas, efeitos e riscos de incidentes de segurança que ocorreram ou poderiam ocorrer.

Causa​

Efeito e risco

Ter vulnerabilidades no sistema de gerenciamento de conteúdo (CMS) que levam à adulteração do site

Os dados pessoais, incluindo informações de cartões de crédito, podem ser vazados

Vazamento de IDs e senhas de telas de administração

Terceiros podem visualizar ou excluir dados confidenciais dos clientes

Confiar a avaliação da configuração e das vulnerabilidades do sistema a prestadores de serviços sem instruir a equipe interna

Quando ocorre um incidente, a causa pode não ser facilmente identificada, prolongando o incidente e seu impacto

Disponibilizar publicamente o ambiente de desenvolvedor e as páginas de teste

Os possíveis agentes fraudulentos podem visualizar as vulnerabilidades, deixando o sistema suscetível a invasões

Negligenciar atualizações e configurações de SSL (Secure Sockets Layer)

Os riscos de "ataques man-in-the-middle" e interceptação de comunicações aumentam

Em todos os casos de incidentes de segurança, a principal causa é a falta de clareza sobre quem é responsável e o que precisa ser protegido. As diretrizes dividem as medidas de segurança em três categorias, com base nas partes envolvidas na prevenção de incidentes. Elas também esclarecem e explicam as funções de cada parte.

Os operadores de sites de e-commerce devem:

  • Decidir sobre a criação do local e as políticas de construção e operação
  • Esclarecer a terceirização e a seleção, os contratos e o gerenciamento de fornecedores
  • Estabelecer uma política de proteção das informações do cliente

Os fornecedores de desenvolvimento e construção devem:

  • Elaborar e implementar sistemas livres de vulnerabilidade
  • Realizar verificações e testes
  • Atualizar e gerenciar o software

Os fornecedores de operação e manutenção devem:

  • Realizar suporte regular de vulnerabilidade para servidores e software
  • Estabelecer sistemas de gerenciamento e monitoramento de logs
  • Estabelecer um sistema de resposta em caso de acidente

Medidas básicas de segurança para sites de e-commerce

Para muitas empresas, pode parecer complicado atualizar e fortalecer as medidas de segurança. Porém, é importante começar com etapas simples que podem ser realizadas imediatamente, como reforçar as senhas e revisar as configurações de compartilhamento. Em seguida, as empresas podem criar gradualmente sistemas de segurança robustos. Aqui estão algumas medidas específicas que as empresas de e-commerce podem considerar:

Integrar o Three-Domain Secure (3D Secure) 2.0 para verificação de identidade

O3D Secure 2.0 é um sistema que aprimora a autenticação de identidade para pagamentos com cartão de crédito. As senhas de uso único e a autenticação biométrica podem evitar pagamentos não autorizados que usam táticas de falsificação de identidade.

Esse sistema também oferece uma experiência aprimorada ao cliente em comparação aos métodos convencionais de senha, ao mesmo tempo em que equilibra segurança e conveniência. Isso o tornou cada vez mais popular entre as empresas de cartão de crédito e os provedores de serviços de pagamentos. Os sites de e-commerce que ainda não integraram o 3D Secure correm o risco de estornos e recusas de transações. Portanto, as empresas de e-commerce devem considerar adotá-lo desde o início.

Conformidade com o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS)

O PCI DSS é um padrão de segurança internacional para empresas que lidam com dados comerciais de cartões de crédito. Esse padrão fornece especificações detalhadas, como criptografia de informações, controle de acesso e gerenciamento de registros. É necessária uma conformidade rigorosa ao lidar com informações de cartão internamente.

No entanto, gerenciar todos esses requisitos internamente pode ser um ônus significativo. Por esse motivo, muitas empresas usam agentes de pagamento compatíveis com o PCI DSS para reduzir esse ônus e, ao mesmo tempo, atender aos requisitos.

Implementar detecção de fraude de cartão de crédito

As transações fraudulentas nem sempre são óbvias no início. Muitas vezes, as empresas as descobrem depois que as compras já foram concluídas. Por isso, é importante ter um sistema que detecte e responda a sinais de transações fraudulentas em tempo real, especialmente antes que as transações sejam concluídas. Aqui estão algumas características que sinalizam transações suspeitas:

  • Acesso a partir de áreas com histórico de fraude
  • Inserções de cartão consecutivas do mesmo endereço de protocolo de internet (IP)
  • Informações do cliente e nome do titular do cartão incompatíveis
  • Várias compras de alto valor em um curto período

O uso de um sistema que bloqueia ou retém automaticamente as transações e as revisa quando classificadas como arriscadas pode evitar danos antes que ocorram.

Como responder a uma ameaça à segurança no e-commerce

A implementação de medidas de segurança pode ajudar a reduzir a ocorrência de incidentes de segurança. Entretanto, o aumento no número de casos de fraude significa que a maioria das empresas provavelmente sofrerá algum tipo de violação de segurança. Isso pode ocorrer mesmo que a empresa coloque em prática contramedidas. Aqui estão algumas maneiras de responder a incidentes de segurança específicos:

Infecção por vírus ou ransomware

Pare de usar o computador ou servidor infectado e desconecte-o da rede. Depois disso, relate o incidente aos parceiros de negócios e clientes afetados, bem como a todos os órgãos públicos relevantes. Por exemplo, no Japão, as infecções por vírus e ransomware devem ser informadas ao IPA. Em seguida, prossiga com seu trabalho de investigação e restauração. Fazer backup dos dados regularmente pode minimizar os danos causados por esse tipo de incidente.

Vazamentos de dados

Os vazamentos de dados incluem acesso não autorizado a redes, atividades ilegais cometidas por funcionários (ou seja, má conduta interna), e-mails mal direcionados e publicação acidental na web. Se isso acontecer, confirme o tipo e a quantidade de dados que vazaram, bem como o status das medidas de segurança, como criptografia e restrições de acesso.

Em caso de acesso não autorizado, desconecte imediatamente o dispositivo da rede e suspenda os serviços. Isso é importante porque há o risco de vazamento de dados pessoais ou informações confidenciais. Se houver vazamento de informações de cartão de crédito ou de conta, entre em contato com a empresa de cartão de crédito e solicite a suspensão da(s) conta(s).

No caso de má conduta interna, restrinja o acesso aos sistemas internos e preserve os comprovantes, como computadores pessoais. Se os e-mails tiverem sido enviados aos destinatários errados, entre em contato com eles e solicite que excluam os e-mails. Se as informações tiverem sido publicadas por engano no site da empresa, exclua-as imediatamente ou restrinja o acesso para que não possam ser visualizadas fora da organização.

Depois de tomar essas medidas, não se esqueça de relatar e notificar as partes relevantes, conforme necessário:

  • Se as informações vazadas, como informações de contas, puderem ser usadas indevidamente, alerte as pessoas físicas e as empresas afetadas para evitar danos secundários.
  • Se houver vazamento de dados pessoais, informe o PPC.
  • Se a causa do vazamento de informações for de natureza criminosa, como acesso não autorizado ou má conduta interna, informe os detalhes à polícia.
  • Se a causa do vazamento de informações for um vírus de computador ou acesso não autorizado, informe o incidente ao escritório de notificação da IPA.

Em seguida, investigue o escopo, a causa e os danos causados pelo vazamento de informações. Depois, prossiga com os esforços de recuperação para evitar a recorrência.

Desligamento do sistema

Se houver um desligamento do sistema, pode ser difícil identificar imediatamente a causa. As possíveis causas incluem falha geral do equipamento e violações de segurança, como ataques cibernéticos e bugs de software. Se a causa for desconhecida, a empresa deve reagir como se fosse um problema de segurança.

Se houver mau funcionamento do sistema, falhas, desligamentos ou sinais iminentes de que isso possa ocorrer, entre em contato com o administrador do sistema ou com o responsável pela segurança das informações. Dependendo da situação, a parte responsável poderá fazer a troca ou o desligamento dos servidores, conforme necessário.

Depois disso, entre em contato com os parceiros da empresa e informe o incidente aos órgãos públicos relevantes. Se houver um vírus ou acesso não autorizado, informe ao escritório de notificação do IPA. Investigue a causa do incidente e prossiga com a restauração e a prevenção de recorrência.

Como as empresas de e-commerce no Japão podem melhorar a segurança?

As medidas de segurança no e-commerce são importantes para proteger as operações diárias. Independentemente do tamanho da empresa, a fraude com cartões e o vazamento de dados são sempre um risco que as empresas precisam atuar para combater.

Nos últimos anos, ficou mais fácil adotar e integrar uma variedade de medidas - como o 3D Secure - para fortalecer a verificação de identidade (ou seja, procedimentos Know Your Customer [KYC]). As empresas também podem seguir os padrões do setor - como o PCI DSS - e introduzir serviços de detecção de fraude. É importante se manter vigilante e tomar medidas proativas com antecedência. O fato de uma empresa não ter enfrentado problemas de segurança não significa que deva ser complacente. Os proprietários de empresas devem aprimorar as medidas de segurança de seus sites de e-commerce para garantir a confiabilidade e a continuidade de seus negócios de e-commerce.

Como o Stripe Radar pode ajudar

O Stripe Radar usa modelos de IA para detectar e prevenir fraudes, treinados com dados da rede global da Stripe. Ele atualiza continuamente esses modelos com base nas últimas tendências de fraude, protegendo sua empresa à medida que a fraude evolui.

A Stripe também disponibiliza o Radar for Fraud Teams, que possibilita que os usuários criem regras personalizadas voltadas a cenários de fraude específicos aos seus negócios, além de oferecer acesso a informações avançadas de fraude.

O Radar pode auxiliar sua empresa a:

  • Prevenir perdas por fraude: a Stripe processa anualmente mais de US$ 1 trilhão em pagamentos. Essa escala exclusiva permite que o Radar detecte e evite fraudes com precisão, economizando seu dinheiro.
  • Aumentar a receita: os modelos de IA do Radar são treinados com dados de contestações reais, informações de clientes, dados de navegação e mais. Isso permite que o Radar identifique transações arriscadas e reduza falsos positivos, aumentando sua receita.
  • Economizar tempo: o Radar é integrado à Stripe e exige zero linhas de código para ser configurado. Você também pode monitorar o desempenho de sua prevenção de fraudes, criar regras e mais em uma única plataforma, aumentando a eficiência.

Saiba mais sobre o Stripe Radar ou comece hoje.

O conteúdo deste artigo é apenas para fins gerais de informação e educação e não deve ser interpretado como aconselhamento jurídico ou tributário. A Stripe não garante a exatidão, integridade, adequação ou atualidade das informações contidas no artigo. Você deve procurar a ajuda de um advogado competente ou contador licenciado para atuar em sua jurisdição para aconselhamento sobre sua situação particular.

Mais artigos

Vamos começar?

Crie uma conta e comece a aceitar pagamentos sem precisar de contratos nem dados bancários, ou fale conosco para criar um pacote personalizado para sua empresa.
Radar

Radar

Combata fraudes com a força da rede da Stripe.

Documentação do Radar

Use o Stripe Radar para proteger sua empresa contra fraudes.